13 Years of Service
42%
Hola.
Hace unas semanas que no posteo algun crypter, porque he estado haciendo pruebas de varias cosas xD.
bueno ayer me decidi a moddear desde binario, porque hace tiempo no lo hacia y me puse a hacer pruebas con hex y descubri un tip, que luego con las pruebas me di cuenta que sirve para la suspicius de panda(al menos en todo los crypters que he probado funciono), mcafee, algunas de kas, la tr.dropper.vb.gen(testeado en un crypter, pero no consegui la misma firma en otros stubs), quita muchas firmas de bit defender, comodo y otros avs que ahora no me acuerdo.
el tip esta testeado en window xp sp2 y window 8, si el tip ya existia, les pido me perdonen y borren el post pues luego de hacer los test pertinentes lo googlie y no lo encontre.
les dejo unas pruebas de los resultados:
binario original crypter corp-51
binario original modificado por el tip:
snake crypter by fudmario binario original:
snake crypter modificado por el tip
sin mas aca les dejo el tip:
en esta parte localizamos la zona, para que tu puedan encontrarla guiense por la estring "text", luego fijense en los valores hexadecimales, que se encuentran en la izquierda
ahi tendran que buscar el lugar en donde se encuentra el valor "01 00 00 10" ambos valores 00 00 son reemplazados por 90 y 90, quedando de esta forma 01 90 90 10, como lo explica la siguiente imagen
no soy muy bueno explicando, a si ue cualquier duda aqui en el post lo podemos resolver
deben saber que el tip tiene una deventaja, si se cambia el primer offset en cuestio, el archivo pierde muchas posibilidades de modificacion como en olly o algunas opciones de lordpe.
saludos a todos y hasta la proxima
Hace unas semanas que no posteo algun crypter, porque he estado haciendo pruebas de varias cosas xD.
bueno ayer me decidi a moddear desde binario, porque hace tiempo no lo hacia y me puse a hacer pruebas con hex y descubri un tip, que luego con las pruebas me di cuenta que sirve para la suspicius de panda(al menos en todo los crypters que he probado funciono), mcafee, algunas de kas, la tr.dropper.vb.gen(testeado en un crypter, pero no consegui la misma firma en otros stubs), quita muchas firmas de bit defender, comodo y otros avs que ahora no me acuerdo.
el tip esta testeado en window xp sp2 y window 8, si el tip ya existia, les pido me perdonen y borren el post pues luego de hacer los test pertinentes lo googlie y no lo encontre.
les dejo unas pruebas de los resultados:
binario original crypter corp-51
Url
FileName = Corp-51.exe
FileSize = 90,226 Kbs
Scan :
Detections = 22 Of 26
arcavir : OK
avast : Win32:VB-ACOC [Trj]
avg : Trojan horse Dropper.Generic5.AAFK
avira : Is the TR/Dropper.Gen Trojan
bitdefender : Gen:Variant.Graftor.24204
clamav : WIN.Worm.Palevo-91 FOUND
comodo : TrojWare.Win32.Injector.NEN@285993120
drweb : infected with Win32.HLLW.Lime.2897
emsisoft : Gen:Variant.Graftor.24204 (B)
nod32 : a variant of Win32/Injector.NEN trojan
fprot : OK
fsecure : Gen:Variant.Graftor.24204
ikarus : Trojan.Win32.VBKrypt
kaspersky : P2P-Worm.Win32.Palevo.emjd
mcafee : Found the Generic Malware.er!ats trojan !!!
microsoft : VirTool:Win32/VBInject
norman : winpe/VBKrypt.DEB
panda : Suspicious file
quickheal : Detected: \"I-Worm.Palevo.emjd\"
sophos : OK
symantec : Trojan.ADH.2
etrust : OK
trendmicro : Found Virus [TROJ_SPNR.30L412]
vipre : Trojan.Win32.Generic!BT
vba32 : infected Malware-Cryptor.VB.gen.1
virusbuster : virus found: Worm.P2P.Palevo!+iXjIzZT1sU
BB-Code Generado por
[ M3 Online Chk4Me BBCode Tool ]
Análisis por Chk4Me.com
This link is hidden for visitors. Please Log in or register now.
FileName = Corp-51.exe
FileSize = 90,226 Kbs
Scan :
Detections = 22 Of 26
arcavir : OK
avast : Win32:VB-ACOC [Trj]
avg : Trojan horse Dropper.Generic5.AAFK
avira : Is the TR/Dropper.Gen Trojan
bitdefender : Gen:Variant.Graftor.24204
clamav : WIN.Worm.Palevo-91 FOUND
comodo : TrojWare.Win32.Injector.NEN@285993120
drweb : infected with Win32.HLLW.Lime.2897
emsisoft : Gen:Variant.Graftor.24204 (B)
nod32 : a variant of Win32/Injector.NEN trojan
fprot : OK
fsecure : Gen:Variant.Graftor.24204
ikarus : Trojan.Win32.VBKrypt
kaspersky : P2P-Worm.Win32.Palevo.emjd
mcafee : Found the Generic Malware.er!ats trojan !!!
microsoft : VirTool:Win32/VBInject
norman : winpe/VBKrypt.DEB
panda : Suspicious file
quickheal : Detected: \"I-Worm.Palevo.emjd\"
sophos : OK
symantec : Trojan.ADH.2
etrust : OK
trendmicro : Found Virus [TROJ_SPNR.30L412]
vipre : Trojan.Win32.Generic!BT
vba32 : infected Malware-Cryptor.VB.gen.1
virusbuster : virus found: Worm.P2P.Palevo!+iXjIzZT1sU
BB-Code Generado por
[ M3 Online Chk4Me BBCode Tool ]
Análisis por Chk4Me.com
binario original modificado por el tip:
Url
FileName = Corp-51tip.exe
FileSize = 90,226 Kbs
Scan :
Detections = 15 Of 26
arcavir : OK
avast : Win32:VB-ACOC [Trj]
avg : Trojan horse Dropper.Generic5.AAFK
avira : Is the TR/Dropper.Gen Trojan
bitdefender : Gen:Trojan.Heur.VB.fm0@eyxNHkji
clamav : OK
comodo : OK
drweb : infected with Win32.HLLW.Lime.2897
emsisoft : Gen:Trojan.Heur.VB.fm0@eyxNHkji (B)
nod32 : a variant of Win32/Injector.NEN trojan
fprot : [Found security risk]
fsecure : Gen:Trojan.Heur.VB.fm0@eyxNHkji
ikarus : Trojan.Win32.VBKrypt
kaspersky : P2P-Worm.Win32.Palevo.emjd
mcafee : OK
microsoft : VirTool:Win32/VBInject
norman : winpe/VBKrypt.DEB
panda : OK
quickheal : OK
sophos : OK
symantec : OK
etrust : OK
trendmicro : OK
vipre : OK
vba32 : infected Malware-Cryptor.VB.gen.1
virusbuster : virus found: Worm.P2P.Palevo!+iXjIzZT1sU
BB-Code Generado por
[ M3 Online Chk4Me BBCode Tool ]
Análisis por Chk4Me.com
This link is hidden for visitors. Please Log in or register now.
FileName = Corp-51tip.exe
FileSize = 90,226 Kbs
Scan :
Detections = 15 Of 26
arcavir : OK
avast : Win32:VB-ACOC [Trj]
avg : Trojan horse Dropper.Generic5.AAFK
avira : Is the TR/Dropper.Gen Trojan
bitdefender : Gen:Trojan.Heur.VB.fm0@eyxNHkji
clamav : OK
comodo : OK
drweb : infected with Win32.HLLW.Lime.2897
emsisoft : Gen:Trojan.Heur.VB.fm0@eyxNHkji (B)
nod32 : a variant of Win32/Injector.NEN trojan
fprot : [Found security risk]
fsecure : Gen:Trojan.Heur.VB.fm0@eyxNHkji
ikarus : Trojan.Win32.VBKrypt
kaspersky : P2P-Worm.Win32.Palevo.emjd
mcafee : OK
microsoft : VirTool:Win32/VBInject
norman : winpe/VBKrypt.DEB
panda : OK
quickheal : OK
sophos : OK
symantec : OK
etrust : OK
trendmicro : OK
vipre : OK
vba32 : infected Malware-Cryptor.VB.gen.1
virusbuster : virus found: Worm.P2P.Palevo!+iXjIzZT1sU
BB-Code Generado por
[ M3 Online Chk4Me BBCode Tool ]
Análisis por Chk4Me.com
snake crypter by fudmario binario original:
Url
FileName = sss.exe
FileSize = 77,824 Kbs
Scan :
Detections = 8 Of 26
arcavir : OK
avast : OK
avg : OK
avira : Is the TR/Dropper.VB.Gen Trojan
bitdefender : Gen:Trojan.Heur.VP2.em0@aSddZCJ
clamav : OK
comodo : OK
drweb : OK
emsisoft : Gen:Trojan.Heur.VP2.em0@aSddZCJ (B)
nod32 : a variant of Win32/Injector.AEEA trojan
fprot : OK
fsecure : Gen:Trojan.Heur.VP2.em0@aSddZCJ
ikarus : OK
kaspersky : Trojan.Win32.Bublik.azrr
mcafee : OK
microsoft : OK
norman : OK
panda : Suspicious file
quickheal : OK
sophos : OK
symantec : OK
etrust : OK
trendmicro : OK
vipre : Trojan.Win32.VBInject.gen (v)
vba32 : OK
virusbuster : OK
BB-Code Generado por
[ M3 Online Chk4Me BBCode Tool ]
Análisis por Chk4Me.com
This link is hidden for visitors. Please Log in or register now.
FileName = sss.exe
FileSize = 77,824 Kbs
Scan :
Detections = 8 Of 26
arcavir : OK
avast : OK
avg : OK
avira : Is the TR/Dropper.VB.Gen Trojan
bitdefender : Gen:Trojan.Heur.VP2.em0@aSddZCJ
clamav : OK
comodo : OK
drweb : OK
emsisoft : Gen:Trojan.Heur.VP2.em0@aSddZCJ (B)
nod32 : a variant of Win32/Injector.AEEA trojan
fprot : OK
fsecure : Gen:Trojan.Heur.VP2.em0@aSddZCJ
ikarus : OK
kaspersky : Trojan.Win32.Bublik.azrr
mcafee : OK
microsoft : OK
norman : OK
panda : Suspicious file
quickheal : OK
sophos : OK
symantec : OK
etrust : OK
trendmicro : OK
vipre : Trojan.Win32.VBInject.gen (v)
vba32 : OK
virusbuster : OK
BB-Code Generado por
[ M3 Online Chk4Me BBCode Tool ]
Análisis por Chk4Me.com
snake crypter modificado por el tip
Url
FileName = ssstip.exe
FileSize = 77,824 Kbs
Scan :
Detections = 6 Of 26
arcavir : OK
avast : OK
avg : OK
avira : Is the TR/Crypt.ZPACK.Gen Trojan
bitdefender : Gen:Trojan.Heur.VB.em0@e0TSe9I
clamav : OK
comodo : OK
drweb : OK
emsisoft : Gen:Trojan.Heur.VB.em0@e0TSe9I (B)
nod32 : a variant of Win32/Injector.AEEA trojan
fprot : OK
fsecure : Gen:Trojan.Heur.VB.em0@e0TSe9I
ikarus : OK
kaspersky : OK
mcafee : OK
microsoft : OK
norman : OK
panda : OK
quickheal : OK
sophos : OK
symantec : OK
etrust : OK
trendmicro : OK
vipre : Trojan.Win32.VBInject.gen (v)
vba32 : OK
virusbuster : OK
BB-Code Generado por
[ M3 Online Chk4Me BBCode Tool ]
Análisis por Chk4Me.com
This link is hidden for visitors. Please Log in or register now.
FileName = ssstip.exe
FileSize = 77,824 Kbs
Scan :
Detections = 6 Of 26
arcavir : OK
avast : OK
avg : OK
avira : Is the TR/Crypt.ZPACK.Gen Trojan
bitdefender : Gen:Trojan.Heur.VB.em0@e0TSe9I
clamav : OK
comodo : OK
drweb : OK
emsisoft : Gen:Trojan.Heur.VB.em0@e0TSe9I (B)
nod32 : a variant of Win32/Injector.AEEA trojan
fprot : OK
fsecure : Gen:Trojan.Heur.VB.em0@e0TSe9I
ikarus : OK
kaspersky : OK
mcafee : OK
microsoft : OK
norman : OK
panda : OK
quickheal : OK
sophos : OK
symantec : OK
etrust : OK
trendmicro : OK
vipre : Trojan.Win32.VBInject.gen (v)
vba32 : OK
virusbuster : OK
BB-Code Generado por
[ M3 Online Chk4Me BBCode Tool ]
Análisis por Chk4Me.com
sin mas aca les dejo el tip:
en esta parte localizamos la zona, para que tu puedan encontrarla guiense por la estring "text", luego fijense en los valores hexadecimales, que se encuentran en la izquierda
This link is hidden for visitors. Please Log in or register now.
ahi tendran que buscar el lugar en donde se encuentra el valor "01 00 00 10" ambos valores 00 00 son reemplazados por 90 y 90, quedando de esta forma 01 90 90 10, como lo explica la siguiente imagen
This link is hidden for visitors. Please Log in or register now.
no soy muy bueno explicando, a si ue cualquier duda aqui en el post lo podemos resolver
deben saber que el tip tiene una deventaja, si se cambia el primer offset en cuestio, el archivo pierde muchas posibilidades de modificacion como en olly o algunas opciones de lordpe.
saludos a todos y hasta la proxima